Unsere Antwort Schrems II
CBRE verpflichtet sich, die Datenschutzrechte unserer Mitarbeiter:innen, Kund:innen und Stakeholder in der EU/dem EWR und weltweit zu respektieren und zu schützen. Wir ergreifen proaktive Maßnahmen, um zu gewährleisten, dass internationale Datenübermittlungen rechtmäßig und in voller Übereinstimmung mit der Entscheidung „Schrems II“ des Europäischen Gerichtshofs vom 16. Juli 2020 erfolgen.
Die Entscheidung des höchsten Gerichts der EU hat das EU-US Privacy Shield Framework für unzulässig erklärt. Sie bestätigte aber auch die Zulässigkeit der EU-Standardvertragsklauseln (Standard Contractual Clauses, SCCs) als rechtmäßigen Mechanismus für die Übermittlung personenbezogener Daten aus der EU/dem EWR in Nicht-EU/EWR-Länder, vorausgesetzt, dass ein angemessener Schutz gemäß EU-Recht gewährleistet ist. CBRE unternimmt proaktive Schritte, um zu gewährleisten, dass alle Datenübermittlungen rechtmäßig und in voller Übereinstimmung mit der Entscheidung Schrems II fortgesetzt werden. Dies umfasst unter anderem
- dass wir uns auch weiterhin auf die EU-Standardvertragsklauseln verlassen, die vom höchsten Gericht der EU bestätigt wurden, um personenbezogene Daten aus der EU/dem EWR rechtmäßig in NichtEU/EWR-Länder zu übermitteln, einschließlich in die USA. Wir beobachten dabei aufmerksam das Geschehen und erwarten weitere Anweisungen des Europäischen Datenschutzausschusses (EDSA), des britischen Information Commissioners Office (ICO) und anderer EU-Aufsichtsbehörden, sowie die Fortschritte der Europäischen Kommission in Bezug auf die Aktualisierung der SCCs.
- die Prüfung alternativer rechtmäßiger Übermittlungsmechanismen für die begrenzten Fälle, in denen wir uns auf die EU-US-Privacy-Shield-Zertifizierung von CBRE verlassen haben, einschließlich der Verwendung von Ausnahmen gemäß Artikel 49 der DSGVO sowie in Kürze die Veröffentlichung einer aktualisierten Datenschutzerklärung. Vor dem 16. Juli verließ sich CBRE ausschließlich für die Übermittlung einiger weniger personenbezogener Daten, die von betroffenen Personen aus der EU/des EWR direkt über die US-Websites von CBRE erhoben wurden, auf das Privacy Shield.
- die Implementierung eines Rahmenwerks für die Durchführung von DatenschutzFolgenabschätzungen bei allen Datenübermittlungen außerhalb der EU/des EWR und die Prüfung angemessener zusätzlicher Sicherheitsvorkehrungen, um zu gewährleisten, dass für alle solche Übermittlungen ein im Wesentlichen gleichwertiges Datenschutzniveau gewährleistet ist, das dem entspricht, das innerhalb des EU garantiert ist.
- die Überprüfung der Möglichkeiten Daten verstärkt innerhalb der EU/dem EWR zu verorten.
CBRE ist optimistisch, dass neue Lösungen, wie beispielsweise ein verbessertes EU-US Privacy Shield Framework, gefunden werden, die den kontinuierlichen freien Datenfluss ermöglichen werden, der für die Weltwirtschaft und internationale Handelsbeziehungen so wichtig ist, und gleichzeitig individuelle Datenschutzrechte im Einklang mit dem EU-Recht geschützt und respektiert werden. Bei Fragen zu CBREs Antwort auf die Entscheidung Schrems II wenden Sie sich bitte an das Global Data Privacy Office von CBRE.
Elizabeth Atlee
Chief Ethics & Compliance Officer